如何對抗利用微軟遠程桌面協(xié)議的網(wǎng)絡攻擊

由于檢疫，現(xiàn)在被迫在家工作的人仍然必須盡可能有效地工作。 在許多情況下，IT人員和其他員工需要遠程連接到辦公室的工作站和服務器，為此，他們通常依賴內(nèi)置在Windows中的Microsoft遠程桌面協(xié)議(RDP)。

然而，RDP帶來了一些安全風險，特別是如果沒有正確設置必要的訪問、帳戶和身份驗證。 在周四發(fā)表的一篇博客文章中，McAfee解釋了網(wǎng)絡罪犯是如何利用RDP訪問的，以及組織可以做些什么來保護自己。

McAfee在其博客文章《網(wǎng)絡罪犯積極利用RDP攻擊遠程組織》中解釋說，RDP經(jīng)常在Windows服務器上運行，包括Web服務器和文件服務器。 在某些情況下，它也用于工業(yè)控制系統(tǒng)。

許多具有RDP的系統(tǒng)都暴露在互聯(lián)網(wǎng)上；暴露系統(tǒng)的數(shù)量從2020年1月的300萬左右增加到3月的450萬以上。 隨著這一增長，對RDP端口的攻擊量也激增。

SEE：如何在家工作：IT專業(yè)人員遠程辦公和遠程工作指南(Tech Republic Premium)

此外，McAfee發(fā)現(xiàn)在地下市場上出售RDP證書的數(shù)量激增，其中許多是以相對較低的價格出售的。 在一個例子中，一個主要國際機場的RDP證書只在黑暗的網(wǎng)絡上交易了10$。

黑客通常通過蠻力密碼攻擊來接管具有RDP訪問權限的帳戶。 這種攻擊對弱口令特別成功，這些弱口令仍然非常常用。 McAfee分析的RDP賬戶最常用的密碼是“test”、“1”、“12345”、“password”、“Passw1”、“1234”、“P@ssw0rd”、“123”和“123456”。 一些RDP系統(tǒng)甚至沒有密碼。

在RDP中也經(jīng)常發(fā)現(xiàn)漏洞，要求微軟發(fā)布安全補丁。 最近最臭名昭著的例子之一是2019年出現(xiàn)的藍色保持脆弱性。 今年1月，微軟還不得不修復與遠程桌面網(wǎng)關相關的缺陷，該網(wǎng)關用于保護遠程連接。 但是組織必須應用微軟的補丁，否則他們?nèi)匀蝗菀资艿絉DP漏洞的影響。

通過RDP獲得遠程訪問組織的罪犯可以將其用于各種邪惡目的。 他們可以使用合法的系統(tǒng)發(fā)送垃圾郵件。 他們可以使用受損的機器分發(fā)惡意軟件或植入密碼器，該密碼器利用空閑CPU電源來挖掘密碼貨幣。 他們還可以使用遠程系統(tǒng)進行額外的欺詐，如身份盜。

隨著向遠程工作的過渡如此迅速和突然，黑客知道許多組織可能沒有為RDP建立適當?shù)陌踩珯z查和限制。